做市商 Wintermute 已与周二通过以太坊区块链从公司窃取 1.6 亿美元的黑客进行了交谈。
该消息于世界标准时间周四 00:00 发送,警告黑客,如果不归还资金,Wintermute 将前往当局在一天结束时。它要求黑客拿走 1600 万美元的“白帽”奖金,并将剩余的近 1.44 亿美元给 Wintermute。
“我们希望与您合作并解决这件事马上。接受赏金条款并在美国东部时间 9 月 22 日 23:59 之前的 24 小时内返还资金,而我们仍然可以将其视为提供 10% 赏金的白帽活动,”消息称。
该消息继续指出,如果黑客归还资金,他们将被称为“白帽”(用于描述道德黑客的术语)。这表明了一个承诺,即如果此人同意该请求,则不会采取任何法律行动。
截至撰写本文时,黑客仍有 12 小时的时间接受赏金。如果剥削者不归还资产(没有赏金),该团队将寻求联系“相关当局和途径”,该公司在其链上声明中表示。
“如果被盗资金未在截止日期前归还,您将迫使我们取消我们的赏金活动和白帽标签;然后,我们将通过适当的权威和途径进行相应的处理,”Wintermute 写道。
Wintermute 正在与它的虚荣地址作斗争。
周二,Wintermute 的以太坊保险库中的各种加密资产损失了 1.6 亿美元,这是一种在智能合约中包含其资产的加密钱包账户。
保险库依赖于前缀为“0x0000000”的弱管理员地址,研究人员将其称为“虚地址”,从而导致了漏洞利用。虚荣地址包括可以识别的名称或数字。
Wintermute 的虚荣地址是由多个互联网程序之一的 Profanity 创建的。 1inch 的一项安全研究表明,在 Wintermute 攻击前几天,所有基于亵渎的虚荣地址都存在严重漏洞。由于这个缺陷,黑客可以使用“蛮力”方法计算他们的私钥。
作为管理员用户,Wintermute 利用了它的亵渎 -基于地址来验证其以太坊保险库上的交易。由于相同的漏洞,有人暴力破解了相同管理地址的私钥。结果,黑客进入了 Wintermut 的保险库并窃取了资金。
公司选择此地址是因为它可能会导致较低的交易费用。 Polygon 的首席信息安全官 Mudit Gupta 与 The Block 交谈时表示,可以使用带有一长串零的虚地址来创建这些地址。
这并不是安全漏洞第一次让 Wintermute 蒙受损失。一名黑客成功获得了乐观基金会赠送给 Wintermute 的 2000 万个 Optimism 代币,用于该代币 6 月上市。
6 月事件发生后, Wintermute 提供了 10% 的赏金,黑客在一天的链上通信后接受了。但这一次,Wintermute 没有收到黑客的回应。